Gli attacchi informatici mirati al settore energetico danese nell’anno scorso potrebbero non essere stati condotti dall’APT legato alla Russia, Sandworm, come precedentemente ritenuto. Nuove scoperte da parte di Forescout suggeriscono una narrazione diversa, sfidando le attribuzioni tradizionali e introducendo nuove complessità nel campo della sicurezza informatica.
Svolgimento degli Attacchi
Gli attacchi, che hanno colpito circa 22 organizzazioni energetiche danesi nel maggio 2023, si sono verificati in due distinte ondate. La prima ondata, avvenuta l’11 maggio, ha sfruttato una vulnerabilità nei firewall Zyxel (CVE-2023-28771), mentre la seconda ondata, dal 22 al 31 maggio, ha visto gli aggressori distribuire varianti del botnet Mirai sugli host infetti attraverso un vettore di accesso iniziale ancora sconosciuto.
Analisi di Forescout
L’analisi più approfondita della campagna di attacchi da parte di Forescout ha rivelato che le due ondate non solo erano non correlate, ma probabilmente non erano opera del gruppo sponsorizzato dallo stato, dato che la seconda ondata faceva parte di una più ampia campagna di sfruttamento di massa contro i firewall Zyxel non aggiornati. Attualmente, non è noto chi sia dietro i due insiemi di attacchi.
Evidenze Suggeriscono Attività Più Ampia
Ci sono prove che suggeriscono che gli attacchi potrebbero essere iniziati già il 16 febbraio sfruttando altre vulnerabilità note nei dispositivi Zyxel (CVE-2020-9054 e CVE-2022-30525) insieme a CVE-2023-28771, e persistiti fino a ottobre 2023. Questa attività si è concentrata su varie entità in Europa e negli Stati Uniti.
Questa situazione sottolinea l’importanza di una continua vigilanza e di una valutazione critica nell’attribuzione degli attacchi informatici, soprattutto in scenari complessi che coinvolgono infrastrutture critiche come il settore energetico danese dove a distanza di tempo si è assolto Sandworm.